5154-centos 屏蔽某个ip

在CentOS系统中,屏蔽特定IP地址是一项常见的安全管理操作，可以有效防止恶意访问或未授权的连接，无论是通过防火墙工具还是系统自带的配置文件，管理员都能灵活实现这一目标，以下是几种常用的屏蔽方法及其操作步骤，供不同场景下的需求选择。

centos 屏蔽某个ip

使用iptables屏蔽IP地址

iptables是Linux系统中经典的防火墙工具,功能强大且配置灵活，在CentOS 7及以下版本中，默认使用iptables作为防火墙解决方案，要屏蔽某个IP地址，首先需要检查iptables的当前规则链，确保操作不会影响现有配置。

执行以下命令查看现有规则：

sudo iptables -L -n -v

若需屏蔽特定IP（例如192.168.1.100），可以使用以下命令：

sudo iptables -I INPUT -s 192.168.1.100 -j DROP

-I INPUT表示插入到INPUT链的顶部，-s指定源IP地址，-j DROP表示丢弃数据包，为使规则永久生效，需保存iptables配置：

sudo service iptables save  
sudo systemctl restart iptables

CentOS 7及以上版本默认使用firewalld作为防火墙管理工具，其支持动态规则更新，无需重启服务即可生效，屏蔽IP时，需先将目标IP添加至rich规则或直接使用zone配置。

以下是通过rich规则屏蔽IP的示例：

centos 屏蔽某个ip

sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" drop'

执行后重新加载防火墙配置：

sudo firewall-cmd --reload

若需临时屏蔽（不保存至重启后），可省略--permanent参数。

对于基于TCP Wrappers的服务（如SSH、FTP等），可通过修改/etc/hosts.deny和/etc/hosts.allow文件实现IP访问控制，编辑hosts.deny文件，添加以下内容：

sshd: 192.168.1.100

这将阻止该IP通过SSH连接服务器,若需同时允许其他IP，可在hosts.allow文件中明确指定允许的地址范围。

fail2ban是一个基于日志分析的入侵防御工具,可自动检测 repeated failed login attempts 并动态封禁IP，需先安装fail2ban：

sudo yum install fail2ban -y

配置/etc/fail2ban/jail.local文件，定义监控的日志文件和封禁规则，针对SSH服务的配置示例：

centos 屏蔽某个ip

[sshd]  
enabled = true  
maxretry = 3  
bantime = 3600  
findtime = 600

保存后重启fail2ban服务：

sudo systemctl restart fail2ban

无论采用哪种方法,均可通过以下命令验证IP是否已被屏蔽：

sudo iptables -L -n -v | grep 192.168.1.100

或使用firewall-cmd --list-rich-rules检查firewalld规则，尝试从目标IP发起连接，确认是否被拒绝访问。